Raspberry Pi 2專用Ubuntu釋出安全更新，一次修補21個漏洞

Canonical釋出用於Raspberry Pi 2的Ubuntu 17.10重大更新，以修正存在的21項安全性漏洞，包括在Linux核心ALSA PCM子系統與網路命名空間實作的釋放後使用漏洞，還有核心鑰匙圈的授權控管等安全性問題，官方呼籲使用者立即更新。

4月4日官方釋出了Linux-raspi2的Ubuntu 17.10更新，這次的重大更新一次修正了21項安全漏洞。Ubuntu之前版本存在兩個記憶體釋放後使用的漏洞，其一是在Linux核心ALSA PCM子系統，其二是在網路命名空間實作，本機端攻擊者可以用來讓系統崩潰或是執行任意程式碼。

這次同時也修正了一系列驅動程式造成的安全性問題，包括Linux核心usbtest設備驅動程式，以及SoundGraph iMON USB、IMS乘客控制單元USB、DiBcom DiB0700 USB DVB、ASIX乙太網路USB、CDC USB乙太網路、QMI WWAN USB和Broadcom NetXtremeII乙太網路驅動程式中的各種問題，這些安全性漏洞允許在實體接近的攻擊者使服務失效與系統崩潰。

發生在Linux核心的OCF32檔案系統，以及循環區塊裝置實做的競態條件，因不受控的事件出現順序，可能導致系統死當、崩潰，甚至讓攻擊者有機可趁執行任意程式碼。

Linux核心的KVM實做，當處理記憶體映射I/O時，存在越界讀取漏洞，可能讓攻擊者讀取敏感資訊。另外，攻擊者能使用Salsa20加密算法、RDS（Reliable Datagram Socket）與HMAC實作漏洞，造成系統崩潰或是服務失效。還有在Linux核心的RDS協定中，指標反參照漏洞，也會造成系統崩潰以及任意程式碼執行。

還有Linux核心的鑰匙圈並未在金鑰請求時，正確的檢查權限，將導致攻擊者可以增加未授權金鑰於鑰匙圈中。這次修補多個Linux核心中的安全性漏洞，官方呼籲使用者，應儘速更新以減少系統被攻擊的機會。